scarab шифровальщик savefile365@nuke.africa

[Yazon]

Добрый день! Поймали шифровальщик. Имена файлов зашифрованы, расширение .saved 

Farbar.zip files.zip

[Sandor]

Здравствуйте!

 

Расшифровки скорее всего нет.

Пароли на RDP смените.

 

Очистим хвосты и мусор:

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\Run: [Windows Update Manager] => C:\Users\Татьяна\AppData\Roaming\winupmgr.exe [44544 2020-07-25] () [File not signed]
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\Run: [mJufM] => C:\Users\Татьяна\Инструкция.TXT [3004 2020-07-25] () [File not signed]
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {42664145-cef1-11e9-8f67-e03f4946e60e} - E:\start.exe
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {4a76a01c-ba6d-11e9-adbf-e03f4946e60e} - F:\start.exe
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {9bb3276f-4ef6-11ea-943e-e03f4946e60e} - E:\start.exe
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {9bb327b6-4ef6-11ea-943e-e03f4946e60e} - E:\start.exe
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a0582713-a46e-11e9-a38d-e03f4946e60e} - E:\start.exe
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a0582725-a46e-11e9-a38d-e03f4946e60e} - F:\start.exe
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a0582738-a46e-11e9-a38d-e03f4946e60e} - E:\start.exe
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a2127c37-cef0-11e9-8a16-e03f4946e60e} - E:\start.exe
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {ba8e450e-a6ca-11e9-9f9e-e03f4946e60e} - E:\start.exe
  HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {fd2905ac-af71-11e9-a918-e03f4946e60e} - E:\start.exe
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-3824878808-928637892-3016472417-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Toolbar: HKU\S-1-5-21-3824878808-928637892-3016472417-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
  CHR HKU\S-1-5-21-3824878808-928637892-3016472417-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kmibfmmikhbomjcihhmfndldkolomdpm]
  2020-07-25 19:40 - 2020-07-25 22:59 - 000003004 _____ C:\Users\Татьяна\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 22:59 - 000003004 _____ C:\Users\Татьяна\Desktop\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Татьяна\Downloads\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Татьяна\Documents\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Татьяна\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Гость\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Гость\Desktop\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Downloads\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Documents\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Desktop\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Downloads\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Documents\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Desktop\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Downloads\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Documents\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Desktop\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\rdp3\Downloads\Инструкция.TXT
  2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\rdp3\Documents\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Все пользователи\Documents\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp3\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp3\Desktop\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Downloads\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Documents\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Desktop\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Downloads\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Documents\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Desktop\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Public\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Public\Downloads\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Public\Documents\Инструкция.TXT
  2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\ProgramData\Documents\Инструкция.TXT
  2020-07-25 19:26 - 2020-07-25 19:26 - 000003004 _____ C:\Program Files (x86)\Инструкция.TXT
  2020-07-25 19:22 - 2020-07-25 19:22 - 000003004 _____ C:\Program Files\Инструкция.TXT
  2020-07-25 19:21 - 2020-07-25 19:21 - 000044544 _____ C:\Users\Татьяна\AppData\Roaming\winupmgr.exe
  FirewallRules: [{1AC71907-EE65-4DF8-A5BF-A389E6B2B115}] => (Allow) LPort=2869
  FirewallRules: [{724626FA-006A-4C93-9B39-961124E2DC50}] => (Allow) LPort=1900
  FirewallRules: [{C29B6E64-3154-4E55-A609-75B5C983A5A5}] => (Allow) LPort=9422
  FirewallRules: [{9F03B1FC-FB88-43F4-B903-E780F0F80D9D}] => (Allow) LPort=9245
  FirewallRules: [{46A1A6BD-A24E-4CD1-901D-991B7CDA7D9A}] => (Allow) LPort=9246
  FirewallRules: [{38C97D62-820D-48A0-ACD2-70188919E6A0}] => (Allow) LPort=9247
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[Yazon]

Печально, спасибо.

[Sandor]

Скрипт выполните, т.к. вымогатель похоже ещё активен.